Hallo,

vielleicht kann mir jemand hier helfen. Offenbar hat meine Frau beim Surfen auf einem Forum auf irgendein Popup-Fenster geklickt. Kurz danach fing das System an zu spinnen, ein Fake Antivir und eine Fake Windows Firewall tauchten auf , Antivir konnte man nicht mehr aktualisieren bzw. scannen lassen.

Hab es dann doch irgendwie geschafft und mit Antivir, Spybot, Adaware etc. gescannt und einige Malware-Dateien gefunden und ausgeschaltet (siehe Betreff für eine Auswahl). Aufgrund der beunruhigenden Anzahl bin ich allerdings alles andere als beruhigt.

Ich habe die Programme hier ausgeführt und die Logs angehängt - kann mich jemand beruhigen?

Vielen Dank vorab.

Rolls

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (MRESP50a64) -- C:\PROGRA~1\GEMEIN~1\Motive\MRESP50a64.SYS File not found
DRV - (MRENDIS5) -- C:\PROGRA~1\GEMEIN~1\Motive\MRENDIS5.SYS File not found
DRV - (MREMPR5) -- C:\PROGRA~1\GEMEIN~1\Motive\MREMPR5.SYS File not found
DRV - (MREMP50a64) -- C:\PROGRA~1\GEMEIN~1\Motive\MREMP50a64.SYS File not found
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BEB71B81
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

vielen Dank, dass Du Dich meiner annimmst. Ich habe das jetzt durchgeführt, anbei das Log.

Gruss,
Roland

All processes killed
========== OTL ==========
Service MRESP50a64 stopped successfully!
Service MRESP50a64 deleted successfully!
File C:\PROGRA~1\GEMEIN~1\Motive\MRESP50a64.SYS File not found not found.
Service MRENDIS5 stopped successfully!
Service MRENDIS5 deleted successfully!
File C:\PROGRA~1\GEMEIN~1\Motive\MRENDIS5.SYS File not found not found.
Service MREMPR5 stopped successfully!
Service MREMPR5 deleted successfully!
File C:\PROGRA~1\GEMEIN~1\Motive\MREMPR5.SYS File not found not found.
Service MREMP50a64 stopped successfully!
Service MREMP50a64 deleted successfully!
File C:\PROGRA~1\GEMEIN~1\Motive\MREMP50a64.SYS File not found not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BEB71B81 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 618688 bytes
->FireFox cache emptied: 0 bytes

User: Roland Popp
->Temp folder emptied: 7285725 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 42584628 bytes
->Apple Safari cache emptied: 4090880 bytes
->Flash cache emptied: 4250 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 13409 bytes

Total Files Cleaned = 52,00 mb


OTL by OldTimer - Version 3.2.17.1 log created on 10292010_200546

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2117880001==contentSet=DDRS=recordID=2117880002==contentSet=DDRS=recordID=2117880003==contentSet=D DRS=recordID=2117880004==contentSet=DDRS=recordID=2117880005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2550210001==contentSet=DDRS=recordID=2550210002==contentSet=DDRS=recordID=2550210003==contentSet=D DRS=recordID=2550210004==contentSet=DDRS=recordID=2550210005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2566600001==contentSet=DDRS=recordID=2566600002==contentSet=DDRS=recordID=2566600003==contentSet=D DRS=recordID=2566600004==contentSet=DDRS=recordID=2566600005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2566600011==contentSet=DDRS=recordID=2566600012==contentSet=DDRS=recordID=2566600013==contentSet=D DRS=recordID=2566600014==contentSet=DDRS=recordID=2566600015==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2593470001==contentSet=DDRS=recordID=2593470002==contentSet=DDRS=recordID=2593470003==contentSet=D DRS=recordID=2593470004==contentSet=DDRS=recordID=2593470005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2685360001==contentSet=DDRS=recordID=2685360002==contentSet=DDRS=recordID=2685360003==contentSet=D DRS=recordID=2685360004==contentSet=DDRS=recordID=2685360005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2804820001==contentSet=DDRS=recordID=2804820002==contentSet=DDRS=recordID=2804820003==contentSet=D DRS=recordID=2804820004==contentSet=DDRS=recordID=2804820005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2806600001==contentSet=DDRS=recordID=2806600002==contentSet=DDRS=recordID=2806600003==contentSet=D DRS=recordID=2806600004==contentSet=DDRS=recordID=2806600005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2941730001==contentSet=DDRS=recordID=2941730002==contentSet=DDRS=recordID=2941730003==contentSet=D DRS=recordID=2941730004==contentSet=DDRS=recordID=2941730005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2942650001==contentSet=DDRS=recordID=2942650002==contentSet=DDRS=recordID=2942650003==contentSet=D DRS=recordID=2942650004==contentSet=DDRS=recordID=2942650005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2947730001==contentSet=DDRS=recordID=2947730002==contentSet=DDRS=recordID=2947730003==contentSet=D DRS=recordID=2947730004==contentSet=DDRS=recordID=2947730005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2953910001==contentSet=DDRS=recordID=2953910002==contentSet=DDRS=recordID=2953910003==contentSet=D DRS=recordID=2953910004==contentSet=DDRS=recordID=2953910005==contentSet=DDRS=re.pdf not found!

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

done, hier das Log:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-10-30.01 - Roland Popp 30.10.2010  23:12:12.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.894.488 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Roland Popp\Desktop\cofi.exe.exe
AV:  *On-access scanning disabled* (Outdated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD218-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD218-FFA4-00DB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD408-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD408-FFA4-00EB-0D24-347CA8A3377C}
FW:  *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\.wtav
c:\windows\system32\setup.ini
c:\windows\system32\spool\prtprocs\w32x86\Ppbiproc.dll
c:\windows\system32\winsys
c:\windows\system32\winsys\msvcrt40.dll
c:\windows\winhelp.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-30  ))))))))))))))))))))))))))))))
.

2010-10-29 18:05 . 2010-10-29 18:05	--------	d-----w-	C:\_OTL
2010-10-24 10:49 . 2010-10-24 10:49	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-10-24 10:48 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-24 10:48 . 2010-10-24 10:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-24 10:48 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-24 10:48 . 2010-10-24 10:49	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-21 20:10 . 2010-10-21 20:10	--------	d-----w-	c:\programme\iPod
2010-10-21 20:00 . 2010-10-21 20:00	--------	d-----w-	c:\programme\Bonjour
2010-10-18 08:06 . 2010-10-18 08:06	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2010-10-18 07:34 . 2010-10-18 07:34	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-10-18 07:33 . 2010-10-18 07:33	--------	d-sh--w-	c:\dokumente und einstellungen\***\IETldCache
2010-10-17 20:32 . 2010-05-06 10:31	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2010-10-17 20:32 . 2010-05-06 10:31	599040	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2010-10-17 20:32 . 2010-05-06 10:31	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-10-17 20:32 . 2010-05-06 10:31	1985536	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2010-10-17 20:32 . 2010-05-06 10:31	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2010-10-17 20:32 . 2010-05-06 10:31	11076096	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2010-10-17 20:32 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-10-17 20:28 . 2010-10-17 20:32	--------	dc-h--w-	c:\windows\ie8
2010-10-17 10:42 . 2010-10-23 07:37	--------	d-----w-	c:\windows\system32\CatRoot_bak
2010-10-16 17:08 . 2010-10-16 17:08	--------	d-----w-	c:\programme\MSXML 6.0
2010-10-16 14:22 . 2010-02-24 12:31	454016	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-10-16 14:21 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-10-16 14:16 . 2010-02-17 12:23	2066048	-c----w-	c:\windows\system32\dllcache\ntkrnlpa.exe
2010-10-16 14:16 . 2010-02-16 19:23	2024448	-c----w-	c:\windows\system32\dllcache\ntkrpamp.exe
2010-10-16 14:16 . 2010-02-16 19:23	2189184	-c----w-	c:\windows\system32\dllcache\ntoskrnl.exe
2010-10-16 14:16 . 2010-02-16 19:23	2146304	-c----w-	c:\windows\system32\dllcache\ntkrnlmp.exe
2010-10-16 14:13 . 2008-06-14 17:57	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2010-10-15 21:01 . 2010-10-15 21:01	--------	d-----w-	c:\windows\dell
2010-10-15 20:36 . 2010-10-24 10:17	--------	d-----w-	c:\windows\system32\NtmsData
2010-10-15 20:28 . 2010-10-15 20:28	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Avira
2010-10-15 20:17 . 2010-03-01 08:05	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-15 20:17 . 2010-02-16 12:24	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-15 20:17 . 2009-05-11 10:49	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-10-15 20:17 . 2009-05-11 10:49	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-10-15 20:17 . 2010-10-15 20:17	--------	d-----w-	c:\programme\Avira
2010-10-15 20:17 . 2010-10-15 20:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-10-15 19:49 . 2004-08-10 06:39	73728	-c--a-w-	c:\windows\system32\dllcache\ehresja.dll
2010-10-15 19:49 . 2004-08-10 06:39	69632	-c--a-w-	c:\windows\system32\dllcache\ehresko.dll
2010-10-15 19:49 . 2004-08-10 06:39	69632	-c--a-w-	c:\windows\system32\dllcache\ehresfr.dll
2010-10-15 19:49 . 2004-08-10 06:39	69632	-c--a-w-	c:\windows\system32\dllcache\ehresde.dll
2010-10-15 19:47 . 2004-08-10 12:00	46592	-c--a-w-	c:\windows\system32\dllcache\svcext51.dll
2010-10-15 19:46 . 2004-08-10 12:00	229439	-c--a-w-	c:\windows\system32\dllcache\multibox.dll
2010-10-15 19:45 . 2004-08-10 12:00	86016	-c--a-w-	c:\windows\system32\dllcache\imekrmbx.dll
2010-10-15 19:44 . 2004-08-10 12:00	480256	-c--a-w-	c:\windows\system32\dllcache\cintsetp.exe
2010-10-15 19:43 . 2003-03-24 14:52	20540	-c--a-w-	c:\windows\system32\dllcache\admin.dll
2010-10-15 19:39 . 2004-08-10 12:00	16384	-c--a-w-	c:\windows\system32\dllcache\isignup.exe
2010-10-15 19:39 . 2004-08-10 12:00	16384	----a-w-	c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2010-10-15 19:16 . 2004-08-10 12:00	24661	-c--a-w-	c:\windows\system32\dllcache\spxcoins.dll
2010-10-15 19:16 . 2004-08-10 12:00	24661	----a-w-	c:\windows\system32\spxcoins.dll
2010-10-15 19:16 . 2004-08-10 12:00	13824	-c--a-w-	c:\windows\system32\dllcache\irclass.dll
2010-10-15 19:16 . 2004-08-10 12:00	13824	----a-w-	c:\windows\system32\irclass.dll
2010-10-14 21:25 . 2010-10-14 21:25	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-10-14 21:09 . 2010-10-14 21:09	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-10-14 20:34 . 2010-08-12 12:15	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-10-14 20:34 . 2010-10-14 20:34	82	---ha-w-	C:\aaw7boot.cmd
2010-10-14 18:12 . 2010-08-12 12:15	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2010-10-14 18:12 . 2010-10-14 18:12	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-10-14 18:06 . 2010-10-14 21:09	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-10-14 18:05 . 2010-10-14 18:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-10-13 19:08 . 2010-10-13 19:08	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue
2010-10-13 19:08 . 2010-10-13 19:08	--------	d-----w-	c:\programme\Uniblue
2010-10-11 19:46 . 2010-10-11 19:46	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\DriverCure
2010-10-11 19:45 . 2010-10-11 19:45	--------	d-----w-	c:\programme\Gemeinsame Dateien\ParetoLogic
2010-10-11 19:45 . 2010-10-11 19:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ParetoLogic
2010-10-11 19:45 . 2010-10-11 19:45	--------	d-----w-	c:\programme\ParetoLogic
2010-10-11 19:23 . 2010-10-11 19:23	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-10-08 17:42 . 2010-10-08 17:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-08 09:17 . 2010-09-08 09:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-08-27 01:43 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2007-01-13 12:16 . 2007-01-13 12:16	774144	----a-w-	c:\programme\RngInterstitial.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-09-02 13351304]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2006-11-01 1392640]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"Launcher"="c:\programme\Kyocera\FS-720 Utilities\KMGLNC.exe" [2005-01-27 57344]
"vspdfprsrv.exe"="c:\programme\Visage\PDF Printer\vspdfprsrv.exe" [2003-11-14 4661760]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-03-08 82011]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"SigmatelSysTrayApp"="stsystra.exe" [2006-09-22 282624]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-24 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2006-12-9 24576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\System Safety Monitor]
2007-01-29 15:59	51152	----a-w-	c:\windows\system32\SSMWinlogonEx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2009-08-13 14:51	177440	----a-w-	c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
2006-04-06 08:51	49152	----a-w-	c:\programme\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2004-07-27 16:50	221184	----a-w-	c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-09-24 00:10	421160	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
2007-05-17 21:45	279912	----a-w-	c:\programme\Microsoft LifeCam\LifeExp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPWebCap]
2001-08-10 09:50	40960	----a-w-	c:\progra~1\ScanSoft\PAPERP~1\PPWEBCAP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Swisscom LiveUpdate]
2010-06-28 13:43	2496904	----a-w-	c:\programme\Swisscom\LiveUpdate\SwisscomLiveUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Swisscom Quick Help]
2010-07-12 06:31	10422656	----a-w-	c:\programme\Swisscom\Quick Help\SwisscomQuickHelp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
2006-03-30 14:45	313472	----a-r-	c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX3000]
2007-04-10 21:46	709992	----a-w-	c:\windows\vVX3000.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Dell Network Assistant\\ezi_hnm2.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Swisscom\\Quick Help\\SwisscomQuickHelp.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [14.10.2010 20:12 64288]
R0 safemon;System Safety Monitor 2.0 Core Engine;c:\windows\system32\drivers\safemon.sys [29.01.2007 17:58 216144]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2010 22:17 135336]
R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;c:\windows\system32\drivers\hnm_wrls_pkt.sys [14.07.2006 03:01 13824]
R2 wsppkt;Wireless Security Protocol;c:\windows\system32\drivers\wsp_pkt.sys [14.07.2006 03:02 13696]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1357464]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - Lavasoft Kernexplorer
.
Inhalt des "geplante Tasks" Ordners

2010-10-30 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:12]

2010-10-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://dict.leo.org/
uInternet Connection Wizard,ShellNext = hxxp://127.0.0.1:4664/first_usage&s=CR-vbKHbFoQmCcTLSIVl7b_2E9A
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4cet7xy9.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-30 23:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1355526931-2314566999-4041236451-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{AA63A627-D65D-A98B-9CF3-C7CA7413D51D}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(844)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\SSMWinlogonEx.dll
c:\windows\System32\BCMLogon.dll
.
Zeit der Fertigstellung: 2010-10-30  23:21:22
ComboFix-quarantined-files.txt  2010-10-30 21:21

Vor Suchlauf: 14 Verzeichnis(se), 20.697.522.176 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 20.759.441.408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - E3BA7EB25235562FE30F635FEF9330BB
         

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Regnull::
[HKEY_USERS\S-1-5-21-1355526931-2314566999-4041236451-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{AA63A627-D65D-A98B-9CF3-C7CA7413D51D}*]
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

so gemacht, hier das Log.

Gruss
Roland

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo,

hier die drei Logs. Hoffe, ich habe alles richtig gemacht. GMER ist wohl unvollständig, ist abgeschmiert.

Gruss,
Roland

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,

sorry für die Verzögerung, musste ein paar Tage weg.

Hier also die beiden Logs:

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nein, überhaupt nichts, keinerlei Probleme.

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

tausend Dank, da bin ich jetzt wirklich erleichtert.

Grossartige Hilfe.

Jetzt brauch ich nur noch den Link, wo ich was für Euch spenden kann bitte.

Schönen Abend und beste Grüsse,
Roland